[Howto] Dnie [Acceso, firma y Ebuild]

cameta · Veteran Joined: 04 Aug 2004 Posts: 1357

Finalmente he conseguido hacer funcionar el famoso DNIE con opensc-0.14
He emergido opensc con estas uses
dev-libs/opensc-0.14.0::gentoo USE="pcsc-lite readline secure-messaging ssl zlib -ctapi -doc -openct" 0 KiB
tras seguir la guía, instalar los certificados. importar el modulo pkscs me encontraba que no me pedía el pin.
Lo he solucionado gracias a esto:

https://github.com/OpenSC/OpenSC/issues/201
y esta guía de kubunto.
http://fpkanarias.blogspot.com.es/2013/03/kubuntu-instalar-dni-electronico.html
En nuestro caso lo importante es modificar la linea del /etc/opensc/conf
enable_pinpad = false;
voy a ver si hablo con artic para hacer un buen how to.
_________________
Si algo falla LEE el jodido manual, Si sigue fallando LEE BIEN el jodido manual.

cameta · Veteran Joined: 04 Aug 2004 Posts: 1357

Por cierto he conseguido bajar el actualizador del firmware desde el internet arxive porque la empresa ya cerro.
_________________
Si algo falla LEE el jodido manual, Si sigue fallando LEE BIEN el jodido manual.

pcmaster · Posted: Wed Aug 12, 2015 5:17 pm Post subject:

Con la última versión de opensc (0.15.0) ya funciona. Lo he probado sacando una historia laboral en la web de la seguridad social.

He puesto un bug para añadir nuevo ebuild al portage (está hasta la versión 0.14.0)

Saludos,
_________________
pcmaster

cameta · Veteran Joined: 04 Aug 2004 Posts: 1357

Con 0.14 funciona el DNIe, aunque en la página del BBVA no me ha funcionado.
_________________
Si algo falla LEE el jodido manual, Si sigue fallando LEE BIEN el jodido manual.

pcmaster · Posted: Fri Aug 14, 2015 9:04 am Post subject:

Hola,

Con la versión 0.14 parecía funcionar, pero nunca lo he logrado. Parece que inicia la sesión, pero no autentica.

Por lo visto hay un bug.

https://bugzilla.redhat.com/show_bug.cgi?id=1186005

De https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=731235

opensc (0.14.0-1) unstable; urgency=medium
.
* New upstream release. (Closes: #746694, #731235, #746663)
* debian/watch: Update to new GitHub location.
* debian/patches/0001-pkcs15_compute_cert_length.diff,
debian/patches/0002-fix-for-aventra-myeid.diff: Drop upstreamed
patches.
* debian/opensc.install: Install new dnie-tool.
* debian/control: Fix Vcs-Git path.
* debian/control: Use new GitHub homepage.
_________________
pcmaster

pcmaster · Posted: Sat Aug 15, 2015 10:21 am Post subject:

Hola de nuevo,

El Firefox, en Editar -> Preferencias -> Avanzado hay dos botones: "Ver certificados" y "Dispositivos de seguridad".

Con la versión 0.14.0, en "Dispositivos de seguridad" veo el DNIe, inicio sesión y pide el PIN, todo correcto, pero en "Ver certificados" no salen, y en las web no autentica.

Con la versión 0.15, en "Ver certificados" pide el pin y muestra los 2 certificados: el de firma y el de autenticación. Y en las web funciona bien.

Más info:

He comprobado que para que la versión 0.14.0 pida el pin al pulsar en "Ver certificados" hay que compilarla con la opción --enable-dnie-ui (hay que modificar el abuild) pero sigo sin ver los certificados.

Cameta, ¿Qué versión de Firefox estás usando? A ver si va a ser el navegador...

He bajado el navegador a la última versión estable (38.1.1) y casi lo mismo: Tanto si pongo en --enable-dnie-ui como si no, ahora siempre pide pin, pero siguen sin salir los certificados.

Con la 0.15.0, sí se ven.
_________________
pcmaster

cameta · Veteran Joined: 04 Aug 2004 Posts: 1357

Hola,
a mi con la 0.14 me funciona.
dev-libs/opensc-0.14.0::gentoo USE="pcsc-lite readline secure-messaging ssl zlib -ctapi -doc -openct
¿Cuanto te sacaste ese DNI? Hay varias versiones del mismo.
_________________
Si algo falla LEE el jodido manual, Si sigue fallando LEE BIEN el jodido manual.

pcmaster · Posted: Wed Aug 19, 2015 4:34 pm Post subject:

Hola,

Es nuevecito (abril de 2015) pero NO es de los nuevos de la versión 3.0 que llevan NFC, sino de los de siempre.

Cuando me lo saqué los nuevos todavia no se expedían en Barcelona.

De todas formas, en mi caso la versión 0.15 sí funciona, y tengo opensc compilado con las mismas USEs:

cameta · Veteran Joined: 04 Aug 2004 Posts: 1357

Hola,
vale, el mio es de agosto de 2014. Si ese funciona perfectamente con opensc-0.14.
Espera a ver si puedo sacar la infomación de mi dni.
PS

pcmaster · Posted: Wed Aug 19, 2015 9:34 pm Post subject:

Hola,

Sí, el mío es más nuevo:

$ dnie-tool -V
Using reader with a card: Cherry GmbH SmartTerminal XX1X [Smart Card Reader CCID] 00 00
DNIe Version: DNIe 03.11 A12 H 7798 EXP 2-(5.1-1)
_________________
pcmaster

cameta · Veteran Joined: 04 Aug 2004 Posts: 1357

http://www.informaley.com/normativa/resolucion-1a0-38123-2007-16-mayo-del-centro-criptologico-nacional-certifica-seguridad-del-documento-nacional-identidad-electronico-version-1-13-con-las-dos-configuraciones-dnie-1-13-a11-h4c34-exp1-1-y-dnie-1-13-b11-h4c34-exp1-1-desarrollado-fabrica-nacional-moneda-y-timbrereal-casa-moneda_0_4664950.html

Fijate que en esta resolución aparece que hay varias versiones y configuraciones.
Yo tengo la versión 01.13 con una configuración B11 H 4C34 EXP 1-
_________________
Si algo falla LEE el jodido manual, Si sigue fallando LEE BIEN el jodido manual.

pcmaster · Posted: Thu Aug 20, 2015 6:28 pm Post subject:

Hola,

Y yo tengo la versión 3.11 con una configuración A12 H 7798 EXP 2-(5.1-1), lo puedes ver en el mensaje anterior. Más nuevo, no soportado en la versión 0.14

Asunto resuelto.

Saludos,
_________________
pcmaster

cameta · Veteran Joined: 04 Aug 2004 Posts: 1357

Hola,
se podría intentar hacer el ebuild con la 0.15 aprovechando el de la 0.14.
_________________
Si algo falla LEE el jodido manual, Si sigue fallando LEE BIEN el jodido manual.

pcmaster · Posted: Fri Aug 21, 2015 3:49 pm Post subject:

Hola,

Ya hay un bug para que lo pongan.

El de la versión 0.14 funciona con la 0.15, pero has de descargar las fuentes manualmente popque no las descarga automáticamente.

Saludos.
_________________
pcmaster

cameta · Veteran Joined: 04 Aug 2004 Posts: 1357

Cuando pueda probare a ver si puedo hacer que funcione.
_________________
Si algo falla LEE el jodido manual, Si sigue fallando LEE BIEN el jodido manual.

pcmaster · Posted: Sat Aug 22, 2015 8:44 pm Post subject:

Hola,

Lo encontré.

Para que funcione, en el ebuild, donde pone:

SRC_URI="mirror://sourceforge/${PN}/${P}.tar.gz"

hay que añadir una línea debajo y poner

RESTRICT="mirror"

para que no lo descargue de los mirrors de Gentoo, porque no está. Se descargará directamente desde sourceforge.

Así ya se puede hacer el Manifest.
_________________
pcmaster

cameta · Veteran Joined: 04 Aug 2004 Posts: 1357

Fantástico.
Aprovecha para eliminar el /usr/local/portage del make.conf si no los has hecho. Está obsoleto.
https://wiki.gentoo.org/wiki/Overlay/Local_overlay
_________________
Si algo falla LEE el jodido manual, Si sigue fallando LEE BIEN el jodido manual.

pcmaster · Posted: Sat Sep 05, 2015 3:29 pm Post subject:

Hola de nuevo,

La versión 0.15.0 ya está en portage.

Ahora para poder usar el DNIe sin problemas es suficiente con instalar dicha versión y los certificados para el navegador de la web del dnie.
_________________
pcmaster

cameta · Veteran Joined: 04 Aug 2004 Posts: 1357

Ya he instalado la 0.15 y funciona.
Eso si, no ha sido posible actualizar el firmware de mi lector ya que el programa que lo hace sólo funciona en windows y en wine falla.
_________________
Si algo falla LEE el jodido manual, Si sigue fallando LEE BIEN el jodido manual.

Arctic · Apprentice Joined: 04 Jul 2011 Posts: 207

Si, he visto algún documento en Debian donde usan opensc (con soporte finalmente a DNI), la parte latosa es que hay que descargar 5 certifados y 2 cosillas más. Los certificados algunos son válidos hasta 2036, pero otros hay que descargarlos cada 2 años. Ahora bien, creo que sigue siendo más rápido usar el ebuild que descargar 7 ficheros a mano e instalarlos uno a uno y tener que editar la confianza de los mismos.

Mi dnie tiene 5 años y nunca me ha dado problemas en linux. El nuevo 3.0 incluye la tarjeta sanitaria y el carnet de conducir, además de NFC, bla bla bla .......

Lo que tendrían que mejorar es el chip en si, y homologar las lectoras de smartcards, pues muchas veces se estropean por culpa de la lectora. A mi se me estropeo en 2 ocasiones con la misma lectora, funcionaba bien y al entrar en un par de sitios zasca ...... al menos no necesitas cita previa y te dan un duplicado al instante.

Lo que me parece también una lata es tener que ir a comisaría cada 30 meses a renovar los certificados en la máquinita. Como estés trabajando en el extranjero te hacen la puñeta por citar un ejemplo.

Otra posibilidad para ahorrarte la lectora es solicitar los certificados de la FNMT, no dan problemas y no necesitas lectora de smartcards.
_________________
ln -s /user/artic /user/arctic

cameta · Veteran Joined: 04 Aug 2004 Posts: 1357

los certificados de la FNMT, no dan problemas y no necesitas lectora de smartcards.
Van de fabula. Realmente el chip del DNI es un puro adorno engorroso.
En cuanto al 3.0, sigue cometiendo el mismo fallo de planteamiento.
_________________
Si algo falla LEE el jodido manual, Si sigue fallando LEE BIEN el jodido manual.

pcmaster · Posted: Fri Jan 01, 2016 4:44 pm Post subject:

De adorno, nada.

Un certificado instalado en el navegador puede ser copiado por un malware. Y el mismo malware puede instalar algún método para robarte el pin.

Además, Firefox no ayuda en absoluto. Pide el PIN cuando instalas el certificado, no cuando lo usas, así que si lo dejas instalado lo único que impide que alguien pueda identificarse como tú si usa tu ordenador es la contraseña de inicio de sesión en el sistema.

Se puede arreglar instalando el certificado en un pendrive, con un sofware como el clauer de la universidad Jaume I (usado por idCAT, y que puede descargarse desde http://clauer.nisu.org/), así al menos el certificado sólo está disponible cuando metes el pendrive, y te pide la contraseña cuando lo pinchas en el USB.

Pero sigue siendo copiable. Sin embargo al DNIe no lo es, ya que el cifrado se realiza dentro del chip, y el certificado no se puede sacar del mismo. Además si te pones en modo paranoico puedes usar un lector de DNIe con entrada de pin de clase 2, lo que significa que el PIN no pasa por el ordenador, sino que se envía directamente desde el teclado hasta el lector.

Un ejemplo de teclado dicha función es este teclado Cherry: http://www.cherry.de/PDF/ES_SmartBoard_G83-6644.pdf

De esta forma, ningún virus o troyano puede robarte un PIN que no llega al PC.
_________________
pcmaster

cameta · Veteran Joined: 04 Aug 2004 Posts: 1357

Todo muy bien, pero acabo de descubrir que el chip de mi dnie está muerto y no funciona.
Pura basura de pésima calidad.

_________________
Si algo falla LEE el jodido manual, Si sigue fallando LEE BIEN el jodido manual.

pcmaster · Posted: Sat Mar 26, 2016 11:29 am Post subject:

Hola,

Prueba a ir ala oficina donde lo expiden, a ver si te lo renuevan gratis por avería o no.

Los nuevos que están haciendo ahora van como los antiguos, y además por NFC.

Ya nos contarás.
_________________
pcmaster

cameta · Veteran Joined: 04 Aug 2004 Posts: 1357

Renovación por caducidad, extravío, sustracción, anticipo o deterioro 10,60 Euros
Renovación con el DNI en vigor por cambio de datos (de filiación y/o domicilio),
así como acreditar ser beneficiario de la condición de familia numerosa Gratuito
Vaya que si me hago una operación de cambio de SEXO me lo hacen GRATIS, en todos los demás casos A PAGAR.
:twisted:

_________________
Si algo falla LEE el jodido manual, Si sigue fallando LEE BIEN el jodido manual.